Il macro malware è tornato alla ribalta con l'avvento di sofisticate tattiche di ingegneria sociale e la popolarità dei programmi macro. Le macro di Microsoft Office, in particolare, sono un obiettivo interessante per i criminali informatici a causa dell'enorme base di utenti di MS Office.
Il malware macro spesso sfrutta la programmazione di Visual Basic for Applications (VBA) nelle macro di Microsoft Office per diffondere virus, worm e altre forme di malware, ponendo un rischio significativo per la sicurezza aziendale.
Come funziona il macro malware
Una macro (abbreviazione di "macroistruzione", letteralmente "comando maiuscolo" dal greco makros: "grande") è una catena di comandi che indica ad applicazioni come Excel e Word di eseguire azioni specifiche. Le macro raggruppano diverse istruzioni più piccole in un unico comando e le eseguono insieme. Ciò migliora la funzionalità dell'applicazione accelerando i processi ricorrenti.
Poiché le macro sono programmi, come qualsiasi altro programma, possono essere potenzialmente compromesse dagli autori di malware. I virus macro sono scritti nello stesso linguaggio macro utilizzato nei programmi software, inclusi Microsoft Word o Excel. In un attacco di macro malware, i criminali informatici spesso creano codice dannoso e lo incorporano in macro di documenti che vengono distribuiti come allegati nelle e-mail di phishing. Una volta che la vittima apre l'allegato, le macro in esso contenute possono essere eseguite e il malware inizia a infettare tutti i file aperti con Microsoft Office. Questa capacità di diffondersi rapidamente è uno dei principali rischi del macro malware.
Best practice per la protezione da macro malware
I virus macro possono richiamare funzioni dannose, come la modifica del contenuto di documenti di testo o l'eliminazione di file. Il malware Emotet utilizza spesso anche macro per ottenere l'accesso alla rete. Nella fase successiva, carica moduli aggiuntivi come trojan bancari, password stealer o ransomware. Alcuni virus macro accedono anche agli account di posta elettronica della vittima e inviano copie dei file infetti a tutti i contatti, che a loro volta spesso aprono questi file poiché provengono da una fonte attendibile.
Se le macro in un file di Microsoft Office non vengono eseguite, il malware non può infettare il dispositivo. La sfida più grande nell'evitare le infezioni da macro malware consiste nell'identificare correttamente le e-mail di phishing. Occorre prestare attenzione ai seguenti punti:
- Email da mittenti sconosciuti
- E-mail con fatture o informazioni presumibilmente riservate allegate
- Documenti che forniscono un'anteprima prima dell'abilitazione delle macro
- Documenti i cui processi macro sembrano sospetti
Il modo migliore per eliminare la minaccia del malware macro è ridurre l'interazione tra il malware e un dispositivo. Le organizzazioni dovrebbero utilizzare una combinazione delle seguenti tecniche per rafforzare le proprie difese contro gli attacchi di macro malware.
Elimina la minaccia di malware macro
1. Utilizzo di un filtro antispam/spazzatura e protezione da phishing
Minore è il numero di e-mail di phishing che raggiungono la posta in arrivo, minore è la possibilità di un attacco di macro malware. Oltre al classico filtro antispam, esistono speciali tecnologie di protezione dal phishing in grado di rilevare anche sofisticati attacchi di spear phishing basati sul machine learning. Queste soluzioni apprendono il normale comportamento comunicativo all'interno di un'azienda e lanciano l'allarme in caso di anomalie.
2. Utilizzando un potente programma antivirus
Il software antivirus può inviare un avviso quando un utente tenta di aprire un collegamento dannoso o di scaricare un file sospetto.
3. Allegati da mittenti sconosciuti
Se gli utenti non conoscono il mittente di un'e-mail, non devono aprire gli allegati, anche se l'e-mail contiene informazioni personali o afferma che l'e-mail è una fattura non pagata.
4. Allegati in e-mail sospette provenienti da mittenti noti
Invertendo il codice del file dannoso, i ricercatori della sicurezza possono decodificare i dati crittografati memorizzati dal campione, determinare la logica del dominio del file e rivelare altre funzionalità del file non rivelate durante l'analisi comportamentale. L'inversione manuale del codice richiede strumenti di analisi del malware come debugger e disassemblatori.
5. Controlla prima dell'esecuzione quali elaborano i controlli di una macro
Se il comando macro sembra eseguire azioni dannose, le macro non devono essere abilitate. Poiché molti utenti hanno familiarità con il termine macro malware ma potrebbero non sapere come identificarlo, le aziende dovrebbero anche istruire i propri dipendenti attraverso una formazione regolare su come riconoscere le possibili minacce, in particolare nell'area dell'ingegneria sociale. Una maggiore consapevolezza degli utenti sui pericoli dei macro virus aiuta a rafforzare in modo significativo la sicurezza aziendale e a ridurre al minimo gli attacchi di macro malware.
[stellaboxid=6]